Google prépare un correctif pour une faille de l’écran de verrouillage d’Android 16. Sur les appareils concernés, Gemini envoyait des SMS et des messages WhatsApp sans code PIN à quiconque tenait le téléphone en main. The Register a recensé ces signalements depuis mai, et un porte-parole de Google a confirmé le bogue avant un déploiement du correctif prévu cette semaine.

Google déploie un correctif cette semaine sur Android 16. Depuis mai, plusieurs utilisateurs signalent à The Register un défaut de conception dans Gemini, l’assistant IA de Google intégré à l’écran de verrouillage de la plupart des smartphones Android. Si quelqu’un prend le vôtre, et même si vous avez désactivé l’accès de Gemini aux SMS, le chatbot répond alors à ses commandes vocales ou tactiles sans réclamer le code PIN. Il lui suffit d’appuyer en même temps sur « Continue » et sur « Add attachment » pour rouvrir l'accès à WhatsApp et de taper « @WhatsApp » dans la fenêtre de Gemini pour reconnecter l’application, sans code.
Mais cela n’a rien d’une tentative de Smishing. C’est un bogue qu'un porte-parole de Google a confirmé auprès de The Register. Moutnain View prévoit un correctif prochainement.
Google n’a pas identifié tous les modèles vulnérables
En fait, que ce soit intentionnel ou juste indélicat, tout le monde profite de cette faille, d’autant qu’il est également possible de passer des appels sans code, en plus des messages.
Selon The Register, d’autres marques que Pixel présentent le même défaut. Plusieurs utilisateurs de mobiles Samsung affirment pourtant ne pas réussir à reproduire le bogue sur leurs appareils. Mais chez Google, on regarde ailleurs et refuse de publier la liste des appareils touchés.
L'’application reconnectée est toujours active après le déverrouillage normal du téléphone. La victime doit vérifier ses réglages Gemini pour repérer la connexion non autorisée. Il vaut mieux désactiver Gemini sur l’écran verrouillé depuis le menu « Gemini sur l'écran de verrouillage ». Cette bascule bloque l’accès à Gemini jusqu’à la saisie du code. Ce réglage est accessible aussi sur les modèles non-Pixel sous Android 16.
Depuis 2025, Gemini victime de 3 failles similaires
En mars 2025, un chercheur en sécurité a signalé à Google un premier contournement du même type. Google a corrige le problème. Il a ensuite publié les détails techniques en septembre et confirmé la vulnérabilité sur un Galaxy S23 FE et sur un Pixel 7 Pro, sous Android 13 à 15. Mais dès 2024, un autre spécialiste avait détecté une première variante du problème. Google lui a versé une prime avant de corriger la faille et de publier les détails au même moment que la précédente.
Sur l’écran verrouillé, Gemini ne propose d’ordinaire qu’une version restreinte de l’application, sans accès aux comptes ni aux réglages. En avril dernier, sur un Pixel 6A pourtant à jour de tous ses correctifs, le chercheur a découvert qu’en sélectionnant « Deep Research », il obtiennait Gemini, que le propriétaire utilise une fois le téléphone déverrouillé. Le système doit alors vérifier l’identité de la personne avant de donner cet accès complet. Mais il a découvert qu'en appuyant longuement sur le bouton « + » exactement à ce moment, la fenêtre de vérification n’a pas eu le temps de s’afficher. Il a pu ensuite changer de compte Google, puis consulter l’historique des conversations Gemini. Il a publié sa démonstration le mois suivant.
Enfin très récemment, un troisième chercheur a détourné le contexte applicatif de Gemini. Il a rédigé des brouillons Gmail sans authentification, puis supprimé des carnets NotebookLM par le même biais. Le chercheur a également déclenché des Gems, ces agents IA personnalisés de Gemini, sans validation du propriétaire. Google avait déjà corrigé la faille au moment de la publication de la recherche.